[发明专利]一种PKCS#11接口调用密码设备的签名方法及装置

说明书

本发明公开了一种PKCS#11接口调用密码设备的签名方法，该方法包括以下步骤：在要对第一数据进行数据签名时，在已封装的对象集合中，使用对象查找初始化函数查找针对第一数据签名的第一对象；使用对象查找函数查找第一对象的对象句柄；通过签名初始化函数使用第一对象的对象句柄进行签名初始化，获得第一签名初始化结果；根据第一签名初始化结果，使用签名函数对第一数据进行签名操作。应用本发明实施例所提供的方法，实现了PKCS#11接口调用密码设备进行数据签名操作的目的，增强了数据安全性，可以保证密钥没有暴露在密码设备外部，提高密钥的安全性。本发明还公开了一种PKCS#11接口调用密码设备的签名装置，具有相应的技术效果。

技术领域

本发明涉及信息安全技术领域，特别是涉及一种PKCS#11接口调用密码设备的签名方法及装置。

背景技术

随着计算机技术的快速发展，对信息安全的关注程度越来越大。为增强数据的安全性，多需要通过密码设备对数据进行签名等处理。在使用密码设备时，密钥对存放在密码设备内部，不允许导出。

目前国际上使用较频繁的密码算法接口为PKCS#11接口，PKCS全称为Public-keyCryptography Standards，即公钥密码学标准。PKCS#11接口定义没有考虑使用硬件算法运算的情况。如何使用PKCS#11接口调用密码设备进行数据签名，是目前本领域技术人员亟需解决的技术问题。

发明内容

本发明的目的是提供一种PKCS#11接口调用密码设备的签名方法及装置，以实现PKCS#11接口调用密码设备进行数据签名操作的目的，增强数据安全性。

为解决上述技术问题，本发明提供如下技术方案：

一种PKCS#11接口调用密码设备的签名方法，包括：

在要对第一数据进行数据签名时，在已封装的对象集合中，使用对象查找初始化函数查找针对所述第一数据签名的第一对象，所述对象集合为PKCS#11接口将密码设备中预先生成的每个密钥对进行封装后得到的对象的集合；

使用对象查找函数查找所述第一对象的对象句柄；

通过签名初始化函数使用所述第一对象的对象句柄进行签名初始化，获得第一签名初始化结果；

根据所述第一签名初始化结果，使用签名函数对所述第一数据进行签名操作。

在本发明的一种具体实施方式中，所述在已封装的对象集合中，使用对象查找初始化函数查找针对所述第一数据签名的第一对象，包括：

获得已封装的对象集合中每个对象的标签属性；

根据每个对象的标签属性，使用对象查找初始化函数确定针对所述第一数据签名的第一对象。

在本发明的一种具体实施方式中，所述根据所述第一签名初始化结果，使用签名函数对所述第一数据进行签名操作，包括：

通过签名函数将所述第一数据和所述第一对象中包含的第一密钥号传给所述密码设备，以使所述密码设备根据所述第一密钥号使用相应私钥对所述第一数据进行签名操作，并将签名结果通过所述签名函数返回给PKCS#11接口；

接收所述密码设备返回的签名结果。

在本发明的一种具体实施方式中，还包括：

在要对第二数据的签名值进行验证时，在所述对象集合中，使用所述对象查找初始化函数查找针对所述第二数据签名的第二对象；

使用所述对象查找函数查找所述第二对象的对象句柄；

通过所述签名初始化函数使用所述第二对象的对象句柄进行签名初始化，获得第二签名初始化结果；